Mit der Einführung des Gesetzes zur Umsetzung von EU NIS2 und der Stärkung der Cybersicherheit, das ab 2024 in Kraft treten wird, stehen viele Unternehmen vor neuen Herausforderungen. Obwohl NIS-2 vorrangig auf Betreiber kritischer Infrastrukturen abzielt, betrifft die Richtlinie weit mehr als nur die in ihr explizit genannten Unternehmen. In diesem Artikel erkläre ich, warum auch Ihr Unternehmen unter die Bestimmungen von NIS-2 fallen könnte und welche Maßnahmen Sie ergreifen sollten.
Die Grundlagen von NIS-2
Die NIS-2-Richtlinie (Network and Information Security) wurde entwickelt, um die Cybersicherheitsstandards innerhalb der Europäischen Union zu harmonisieren und zu stärken. Sie baut auf der ursprünglichen NIS-Richtlinie auf und erweitert deren Anwendungsbereich erheblich. Ziel ist es, die Resilienz kritischer Infrastrukturen und wichtiger Unternehmen gegen Cyberangriffe zu erhöhen.
Erweiteter Anwendungsbereich: Mehr als nur KRITIS
Eine der bedeutendsten Änderungen in NIS-2 ist die Erweiterung des Anwendungsbereichs. Neben den traditionellen Betreibern kritischer Infrastrukturen, die wesentliche Dienstleistungen erbringen und deren Ausfall erhebliche Auswirkungen auf Wirtschaft und Gesellschaft haben könnte, betrifft NIS-2 auch eine Vielzahl von Unternehmen in anderen Sektoren. Dazu gehören:
- Großunternehmen in verschiedenen Branchen: Unternehmen mit mehr als 250 Mitarbeitern oder einem Jahresumsatz von über 50 Millionen Euro und einer Bilanzsumme von über 43 Millionen Euro.
- Mittlere Unternehmen in besonders kritischen Sektoren: Unternehmen mit mindestens 50 Mitarbeitern oder einem Jahresumsatz von über 10 Millionen Euro und einer Bilanzsumme von über 10 Millionen Euro.
- Spezielle Dienstleister: Dazu zählen Anbieter von qualifizierten Vertrauensdiensten, Domain-Name-System-Dienstleistern (DNS), Telekommunikationsdiensten und mehr.
Diese Ausweitung bedeutet, dass viele Unternehmen, die sich bisher nicht als Teil kritischer Infrastrukturen gesehen haben, nun unter die Bestimmungen der NIS-2-Richtlinie fallen.
Warum Ihr Unternehmen betroffen sein könnte
Auch wenn Ihr Unternehmen nicht direkt als Betreiber einer kritischen Infrastruktur klassifiziert ist, könnte es dennoch betroffen sein. Hier sind einige Gründe, warum:
1. Lieferketten-Abhängigkeiten
Viele Unternehmen sind Teil komplexer Lieferketten, die auf die Dienstleistungen und Produkte kritischer Infrastrukturen angewiesen sind. Ein Cyberangriff auf einen dieser Lieferanten kann sich auf Ihr Unternehmen auswirken und Ihre Geschäftsabläufe stören. NIS-2 fordert Unternehmen auf, die Sicherheit ihrer gesamten Lieferkette zu gewährleisten und entsprechende Maßnahmen zu ergreifen.
Sie können auch selbst Dienstleister für ein Unternehmen sein, das unter die NIS-2 Richtlinie fällt. Insoweit betrifft Sie NIS-2 als Lieferant, da die großen Unternehmen sicherstellen müssen, dass in der gesamten Lieferkette die Vorgaben eingehalten werden. Sie können also bald mit einer Vielzahl von Excel Tabellen und Fragebögen rechnen, die Sie dann ausfüllen müssen.
2. Erhöhte Meldepflichten
Unternehmen, die unter die NIS-2-Richtlinie fallen, müssen Cybersicherheitsvorfälle innerhalb kurzer Fristen melden. Diese Verpflichtung erstreckt sich auf erhebliche Vorfälle, die die Integrität, Verfügbarkeit oder Vertraulichkeit von Netzwerken und Informationssystemen beeinträchtigen könnten. Im Falle dessen, dass Sie in der Lieferkette stehen, könnte auch diese Pflicht auf Sie zukommen.
3. Strengere Sicherheitsanforderungen
NIS-2 legt großen Wert auf ein robustes Risikomanagement und die Implementierung technischer und organisatorischer Sicherheitsmaßnahmen. Dazu gehören regelmäßige Sicherheitsüberprüfungen, Penetrationstests und die Sicherstellung, dass die eingesetzten IT-Systeme und -Dienste aktuellen Sicherheitsstandards entsprechen.
4. Erweiterte Aufsichtsbefugnisse
Die Aufsichtsbehörden erhalten durch NIS-2 erweiterte Befugnisse, um die Einhaltung der Cybersicherheitsanforderungen zu überprüfen. Dies kann regelmäßige Audits, Nachweispflichten und im Falle von Verstößen erhebliche Bußgelder umfassen. Unternehmen müssen sich darauf einstellen, umfassend dokumentieren zu können, dass sie die geforderten Sicherheitsmaßnahmen umgesetzt haben.
Maßnahmen zur Vorbereitung
Um sicherzustellen, dass Ihr Unternehmen die Anforderungen von NIS-2 erfüllt, sollten Sie folgende Schritte in Erwägung ziehen:
- Risikobewertung: Führen Sie eine umfassende Risikobewertung durch, um potenzielle Schwachstellen und Bedrohungen zu identifizieren.
- Sicherheitsstrategien entwickeln: Implementieren Sie robuste Sicherheitsstrategien, die auf den aktuellen Bedrohungslagen basieren und regelmäßig überprüft und aktualisiert werden.
- Mitarbeiterschulungen: Schulen Sie Ihre Mitarbeiter regelmäßig in Cybersicherheit und bewährten Verfahren zur Risikominderung.
- Notfallpläne: Entwickeln Sie Notfallpläne und führen Sie regelmäßig Übungen durch, um die Reaktionsfähigkeit auf Cyberangriffe zu testen.
- Zusammenarbeit mit Lieferanten: Stellen Sie sicher, dass auch Ihre Lieferanten und Partner hohe Sicherheitsstandards einhalten und in Ihre Cybersicherheitsstrategien integriert sind.
Nach dem derzeitigen Stand des § 30 BSIG, müssen besonders wichtige Einrichtungen und wichtige Einrichtungen, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen
ergreifen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten. Dabei sind das Ausmaß der Risikoexposition die Größe der Einrichtung, die Umsetzungskosten und die Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen sowie ihre gesellschaftlichen und wirtschaftlichen Auswirkungen zu berücksichtigen.
Kennt man irgendwie aus der Datenschutzgrundverordnung (DSGVO). Auch dort wird der risikobasierte Ansatz gewählt.
Die umzusetzenden Maßnahmen im Unternehmen sollen den Stand der Technik einhalten, die einschlägigen europäischen und internationalen Normen berücksichtigen und müssen auf einem gefahrenübergreifenden Ansatz beruhen. Die Maßnahmen müssen zumindest Folgendes
umfassen:
- Konzepte in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informationstechnik,
- Bewältigung von Sicherheitsvorfällen,
- Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nacheinem Notfall, und Krisenmanagement,
- Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern,
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen,
- Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik,
- grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Sicherheit in der Informationstechnik,
- Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung,
- Sicherheit des Personals, Konzepte für die Zugriffskontrolle und für das Management von Anlagen,
- Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.
Fazit
Die NIS-2-Richtlinie erweitert den Geltungsbereich der Cybersicherheitsanforderungen erheblich und betrifft weit mehr Unternehmen als bisher. Es ist entscheidend, dass Unternehmen die neuen Anforderungen verstehen und proaktive Maßnahmen ergreifen, um ihre Sicherheit und Compliance zu gewährleisten. Indem Sie sich frühzeitig vorbereiten, können Sie nicht nur gesetzlichen Anforderungen entsprechen, sondern auch die Resilienz und Sicherheit Ihres Unternehmens stärken.
Gerne stehe ich Ihnen bei der Umsetzung der NIS-2 Richtlinie in Ihrem Unternehmen zur Verfügung.
Den Referentenentwurf zum (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz finden Sie hier.
Stefan Lutz, LL.M.
Rechtsanwalt und Fachanwalt für IT-Recht
externer Datenschutzbeauftragter
Lehrbeauftragter für IT-Recht an der RWU
Rechtsanwalt und Fachanwalt für IT-Recht Stefan Lutz, LL.M. berät Firmen und private Mandanten in den Rechtsgebieten des IT-Rechts, wozu unter anderem das Datenschutzrecht (BDSG, DSGVO, TDDDG...), Urheberrecht, Wettbewerbsrecht, Markenrecht, E-Commerce-Recht, Social Media Recht und das Recht der Künstlichen Intelligenz gehören.
Telefon: 0751 / 27 088 530